Struts2高危漏洞凶残 如何高枕无忧

安全 漏洞
Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。

Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。目前安全宝用户暂可高枕无忧。同时也建议使用Struts开源架构的网站用户尽快加入安全宝云体系,以保护网站免受漏洞的威胁。

据悉,Struts2漏洞由网安全宝在昨日率先拦截到其攻击,漏洞涉及Struts2.0及以上的版本,是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击,不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。而且,目前针对此漏洞的自动化工具开始出现,攻击者无需具备与漏洞相关的专业知识即可侵入服务器,直接执行命令操作,盗取数据甚至进行毁灭性操作。

Struts2高危漏洞凶残 安全宝用户暂可高枕无忧

安全宝联合产品副总裁吴翰清指出:“Struts2是一个帮助java开发者利用j2ee开发Web应用的开发框架,作为网站开发的底层通用模板,在大型互联网企业、政府、金融机构等网站建设中应用广泛。因此,此次Struts 2远程执行漏洞,将会威胁很多规模型网站。如今,开源架构下漏洞频频爆出,并且大多属于突发性威胁、爆发迅速快、波及范围广,这警示网站安全必须由一次性维护转向即时关注,以应对层出不穷的网站安全威胁。”

为了防范攻击者可能利用此漏洞发起的攻击,安全宝提醒广大网站管理员,应该尽快采取如下措施:

1、DNSPOD的用户直在DNSPOD域名管理列表中开启安全中心,即可一键防御攻击。

2 、从Struts2的官方网站下载最新的补丁程序,并尽快将Struts 2升级到最新的2.3.15.1版本,避免遭遇严重的安全攻击(下载地址http://struts.apache.org/download.cgi#struts23151)。鉴于Struts 2至今为止已经多次曝出严重的高危漏洞,如果不是必要,建议开发者以后考虑采用其它类似的Java开发框架。

3、网站加入安全宝云安全防护系统 http://www.anquanbao.com/,安装Struts 2的虚拟补丁。

4、虽然官方网址已经升级补丁,但是经过阿里安全专家空虚浪子心测试,仍然存在被绕过的攻击威胁,为此阿里安全专家空虚浪子心提供的加强版补丁(下载地址:http://www.inbreak.net/archives/507)。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2013-07-18 15:09:27

2010-03-17 14:38:02

2010-09-02 17:22:34

DHCP服务器

2017-07-11 09:42:22

漏洞

2017-03-08 22:23:02

2010-01-27 16:17:57

2016-03-22 12:37:45

Struts2Struts2漏洞漏洞检测

2009-07-09 15:43:26

2013-07-18 13:11:07

2013-07-19 09:36:04

struts2struts2漏洞

2017-07-14 13:51:19

2013-07-22 10:45:56

2016-06-08 10:09:24

2022-02-17 16:34:33

戴尔

2013-05-22 10:28:19

2013-07-24 10:35:02

2011-05-06 10:44:10

惠普激光打印机

2022-12-23 08:37:16

BigDecimaljava

2017-05-03 17:49:33

CIO云计算异构

2018-01-07 01:32:31

点赞
收藏

51CTO技术栈公众号